{"id":819735,"date":"2023-07-07T15:49:50","date_gmt":"2023-07-07T17:49:50","guid":{"rendered":"https:\/\/teknomers.com\/fr\/le-reseau-social-mastodon-corrige-des-failles-critiques-permettant-la-prise-de-controle-du-serveur\/"},"modified":"2023-07-07T15:49:53","modified_gmt":"2023-07-07T17:49:53","slug":"le-reseau-social-mastodon-corrige-des-failles-critiques-permettant-la-prise-de-controle-du-serveur","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/le-reseau-social-mastodon-corrige-des-failles-critiques-permettant-la-prise-de-controle-du-serveur\/","title":{"rendered":"Le r\u00e9seau social Mastodon corrige des failles critiques permettant la prise de contr\u00f4le du serveur"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 juil. 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Swati Khandelwal<\/span><\/span><span class=\"p-tags\">Vuln\u00e9rabilit\u00e9 \/ M\u00e9dias sociaux<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Mastodon, un r\u00e9seau social d\u00e9centralis\u00e9 populaire, a publi\u00e9 une mise \u00e0 jour de s\u00e9curit\u00e9 pour corriger les vuln\u00e9rabilit\u00e9s critiques qui pourraient exposer des millions d&#8217;utilisateurs \u00e0 des attaques potentielles.<\/p>\n<p>Mastodon est connu pour son mod\u00e8le f\u00e9d\u00e9r\u00e9, compos\u00e9 de milliers de serveurs s\u00e9par\u00e9s appel\u00e9s &#8220;instances&#8221;, et il compte plus de 14 millions d&#8217;utilisateurs sur plus de 20 000 instances.<\/p>\n<p>La vuln\u00e9rabilit\u00e9 la plus critique, <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/mastodon\/mastodon\/security\/advisories\/GHSA-9928-3cp5-93fm\" target=\"_blank\">CVE-2023-36460<\/a>permet aux pirates d&#8217;exploiter une faille dans la fonctionnalit\u00e9 des pi\u00e8ces jointes multim\u00e9dias, en cr\u00e9ant et en \u00e9crasant des fichiers \u00e0 n&#8217;importe quel endroit auquel le logiciel pourrait acc\u00e9der sur une instance.<\/p>\n<p>Cette vuln\u00e9rabilit\u00e9 logicielle pourrait \u00eatre utilis\u00e9e pour des attaques DoS et d&#8217;ex\u00e9cution arbitraire de code \u00e0 distance, ce qui repr\u00e9sente une menace importante pour les utilisateurs et l&#8217;\u00e9cosyst\u00e8me Internet au sens large.<\/p>\n<section class=\"check_two clear badbox\"><center class=\"cf\"> <\/center><\/section>\n<p>Si un attaquant prend le contr\u00f4le de plusieurs instances, il pourrait causer des dommages en demandant aux utilisateurs de t\u00e9l\u00e9charger des applications malveillantes ou m\u00eame de faire tomber toute l&#8217;infrastructure Mastodon.  Heureusement, il n&#8217;y a aucune preuve que cette vuln\u00e9rabilit\u00e9 soit exploit\u00e9e jusqu&#8217;\u00e0 pr\u00e9sent.<\/p>\n<p>La faille critique a \u00e9t\u00e9 d\u00e9couverte dans le cadre d&#8217;une initiative compl\u00e8te de tests d&#8217;intrusion financ\u00e9e par la Fondation Mozilla et men\u00e9e par Cure53.<\/p>\n<p>La r\u00e9cente version du correctif <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/mastodon\/mastodon\/security\/advisories\" target=\"_blank\">corrig\u00e9 cinq vuln\u00e9rabilit\u00e9s<\/a>, y compris un autre probl\u00e8me critique identifi\u00e9 comme CVE-2023-36459.  Cette vuln\u00e9rabilit\u00e9 pourrait permettre aux attaquants d&#8217;injecter du code HTML arbitraire dans les cartes de pr\u00e9visualisation oEmbed, en contournant le processus de nettoyage HTML de Mastodon.<\/p>\n<p>Par cons\u00e9quent, cela a introduit un vecteur pour les charges utiles Cross-Site Scripting (XSS) qui pouvaient ex\u00e9cuter du code malveillant lorsque les utilisateurs cliquaient sur des cartes de pr\u00e9visualisation associ\u00e9es \u00e0 des liens malveillants.<\/p>\n<section class=\"check_two_webinar clear badbox\"><span class=\"wn-label\">WEBINAIRE \u00c0 VENIR<\/span><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-head\"><\/p>\n<p>\ud83d\udd10 Gestion des acc\u00e8s privil\u00e9gi\u00e9s\u00a0: apprenez \u00e0 relever les principaux d\u00e9fis<\/p>\n<p><\/a><\/p>\n<p class=\"wn-description\">D\u00e9couvrez diff\u00e9rentes approches pour relever les d\u00e9fis de la gestion des comptes privil\u00e9gi\u00e9s (PAM) et am\u00e9liorer votre strat\u00e9gie de s\u00e9curit\u00e9 des acc\u00e8s privil\u00e9gi\u00e9s.<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/pam-webinar\" target=\"_blank\" class=\"wn-button\">R\u00e9servez votre place<\/a><\/section>\n<p>Les trois vuln\u00e9rabilit\u00e9s restantes ont \u00e9t\u00e9 class\u00e9es comme \u00e9tant de gravit\u00e9 \u00e9lev\u00e9e et moyenne.  Ils comprenaient \u00abl&#8217;injection LDAP aveugle dans la connexion\u00bb, qui permettait aux attaquants d&#8217;extraire des attributs arbitraires de la base de donn\u00e9es LDAP, \u00able d\u00e9ni de service via des r\u00e9ponses HTTP lentes\u00bb et un probl\u00e8me de formatage avec \u00abliens de profil v\u00e9rifi\u00e9s\u00bb.  Chacune de ces failles posait diff\u00e9rents niveaux de risque aux utilisateurs de Mastodon.<\/p>\n<p>Pour se prot\u00e9ger, les utilisateurs de Mastodon n&#8217;ont qu&#8217;\u00e0 s&#8217;assurer que leur instance abonn\u00e9e a install\u00e9 rapidement les mises \u00e0 jour n\u00e9cessaires.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/07\/mastodon-social-network-patches.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 juil. 2023\ue804Swati KhandelwalVuln\u00e9rabilit\u00e9 \/ M\u00e9dias sociaux Mastodon, un r\u00e9seau social d\u00e9centralis\u00e9 populaire, a publi\u00e9 une mise \u00e0 jour de s\u00e9curit\u00e9 pour corriger les vuln\u00e9rabilit\u00e9s critiques qui pourraient exposer des millions d&#8217;utilisateurs \u00e0 des attaques potentielles. Mastodon est connu pour son mod\u00e8le f\u00e9d\u00e9r\u00e9, compos\u00e9 de milliers de serveurs s\u00e9par\u00e9s appel\u00e9s &#8220;instances&#8221;, et il compte plus [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":819736,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[4168,3976,6815,5729,4158,4165,4161,133,4806,4157,4159,4171,4170,4167,73129,4160,4163,4162,106717,1566,4810,4172,4169,32855,5529,4166,4164],"class_list":["post-819735","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-comment-pirater","tag-controle","tag-corrige","tag-critiques","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-des","tag-failles","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mastodon","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-permettant","tag-prise","tag-reseau","tag-securite-informatique","tag-securite-internet","tag-serveur","tag-social","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/819735","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=819735"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/819735\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/819736"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=819735"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=819735"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=819735"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}